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Jeux de cles particuliers destines a prouver Pauthenticite d'une entite 
ou I'integrite d'un message. 

La presente invention concerne le domaine technique des procedes, des 
systemes ainsi que des dispositifs destines a prouver l'authenticite d'une 
entite et/ou Fintegrite et/ou l'authenticite d'un message. 
Le brevet EP 0 31 1 470 Bl dont les inventeurs sont Louis Guillou et Jean- 
Jacques Quisquater decrit un tel procede. On y fera ci-apres reference en le 
designant par les termes : "brevet GQ" ou "procede GQ". Par la suite on 
designera parfois par "GQ2'\ "invention GQ2" ou "technologie GQ2" de 
nouveaux developpements de la technologie GQ faisant Fobjet des 
demandes pendantes deposees le meme jour que la presente demande par 
France Telecom, TDF et la Societe Mathrizk et ayant pour inventeur Louis 
Guillou et Jean- Jacques Quisquater. Les traits caracteristiques de ces 
demandes pendantes sont rappeles chaque fois que cela est necessaire 
dans la description qui suit. 

Selon le procede GQ, une entite appelee " autorite de confiance " attribue 
une identite a chaque entite appelee " temoin 99 et en calcule la signature 
RSA; durant un processus de personnalisation, T autorite de confiance 
donne identite et signature au temoin. Par la suite, le temoin proclame : 
" Void mon identite ; j 9 en connais la signature RSA . " Le temoin prouve 
sans la reveler qu'il connait la signature RSA de son identite. Grace a la cle 
publique de verification RSA distribute par V autorite de confiance, une 
entite appelee " controleur M verifie sans en prendre connaissance que la 
signature RSA correspond a 1' identite proclamee. Les mecanismes utilisant 
le procede GQ se deroulent " sans transfert de connaissance Selon le 
procede GQ, le temoin ne connait pas la cle privee RSA avec laquelle 
Tautorite de confiance signe un grand nombre d'identites. 
La technologie GQ precedemment decrite fait appel a la technologie RSA. 
Mais si la technologie RSA depend bel et bien de la factorisation du 
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module n, cette dependance n'est pas une equivalence, loin s'en faut, 
comme le demontrent les attaques dites "multiplicatives" contre les 
diverses normes de signature numerique mettant en ceuvre la technologie 
RSA. 

L'objectif de la technologie GQ2 est double : d'une part, ameliorer les 
performances par rapport a la technologie RSA ; d' autre part, eviter les 
problemes inherents a la technologie RSA. La connaissance de la cle privee 
GQ2 est equivalente a la connaissance de la factorisation du module n. 
Toute attaque au niveau des triplets GQ2 se ramene a la factorisation du 
module n : il y a cette fois equivalence. Avec la technologie GQ2, la charge 
de travail est reduite, tant pour Tentite qui signe ou qui s'authentifie que 
pour celle qui controle. Grace a un meilleur usage du probleme de la 
factorisation, tant en securite qu'en performance, la technologie GQ2 evite 
les inconvenients presentes par la technologie RSA. 

Le precede GQ met en ceuvre des calculs modulo des nombres de 512 bits 
ou davantage. Ces calculs concernent des nombres ayant sensiblement la 
meme taille eleves a des puissances de l'ordre de 2 16 + 1. Or les 
infrastructures microelectroniques existantes, notamment dans le domaine 
des cartes bancaires, font usage de microprocesseurs auto-programmables 
monolithiques depourvus de coprocesseurs arithmetiques. La charge de 
travail liee aux multiples operations arithmetiques impliquees par des 
precedes tels que le precede GQ, entraine des temps de calcul qui dans 
certains cas s'averent penalisant pour les consommateurs utilisant des 
cartes bancaires pour acquitter leurs achats. D est rappele ici, qu'en 
cherchant a accroitre la securite des cartes de paiement, les autorites 
bancaires posent un probleme particulierement delicat a resoudre. En effet, 
il faut traiter deux questions apparemment contradictoires : augmenter la 
securite en utilisant des cles de plus en plus longues et distinctes pour 
chaque carte tout en evitant que la charge de travail n' entraine des temps 
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de calcul prohibitifs pour les utilisateurs. Ce probleme prend un relief 
particxilier dans la mesure ou, en outre, il convient de tenir compte de 
T infrastructure en place et des composants microprocesseurs existants. 
La technologie GQ2 apporte une solution a ce probleme tout en renfor?ant 
la securite. 

La technologie GQ2 met en oeuvre des facteurs premiers ayant des 
proprietes particulieres. Differentes techniques existent pour produire ces 
facteurs premiers. La presente invention a pour objet un procede 
permettant de produire de maniere systematique de tels facteurs premiers. 
Elle conceme aussi F application qui peut etre faite de ceux-ci plus 
particulierement dans la mise en ceuvre de la technologie GQ2. On souligne 
des a present que ces facteurs premiers particuliers et le procede permettant 
de les obtenir sont susceptibles d' application en dehors du champ de la 
technologie GQ2. 

L'invention s'applique a un procede destine a prouver a une entite 
controleur, 

- F authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite. 
Un tel procede met en ceuvre : 

• un module public n constitue par le produit de f facteurs premiers p w 
P2» Pf (f 6tant superieur ou egal a 2) ou mettant en ceuvre les f facteurs 
premiers, 

- m nombres de base entiers g v g^, ... g m distincts (m etant superieur 
ou egal a 1), g, etant inferieur aux f facteurs premiers p 19 p 2 , ... p f , 

- m couples de valeurs privees Q l9 Q 29 ... Q m et publiques G 19 G 2 , 
G m (m etant superieur ou egal a 1) ou des parametres derives de ceux-ci. 
Ledit module et lesdites valeurs privees et publiques sont lies par des 
relations du type : 

Gj . Q| v = 1 . mod n ou Gj s Qj v mod n 
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ladite valeur publique etant le carre g 2 du nombre de base, 
v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1. 

Le procede selon Finvention comprend Fetape de produire les f facteurs 
premiers p t y , p v . - . p f et/ou les m nombres de base g M g 2? , . . . g m de telle sorte 
que les conditions suivantes soient satisfaites. 
Premiere condition : 

Selon la premiere condition, chacune des equations : 

x v = g 2 mod n (1) 
a des solutions en x dans Fanneau des entiers modulo n. 
Deuxieme condition : 

Selon la deuxieme condition, dans le cas ou G i = Qj V mod n, panni les m 

nombres q t obtenus en elevant Q| au carre modulo n, k-1 fois de rang, Tun 

d'entre eux est different de ± gj (c'est-a-dire est non trivial). 

Selon la deuxieme condition, dans le cas ou G; . Q| V s 1 mod n, panni les m 

nombres q; obtenus en elevant Tinverse de Qj modulo n au carre modulo n, 

k-1 fois de rang, Tun d'entre eux est different de ± g { (c*est-a-dire est non 

trivial). 

II est precise ici que selon une notation courante ± gj represente les 
nombres gj et n-gj. 
Troisieme condition : 

Selon la troisieme condition, parmi les 2m equations : 

x 2 = g. mod n (2) 

x 2 = - gj mod n (3) 
au moins Tune d'entre elles a des solutions en x dans 1'anneau des entiers 
modulo n. 

Le procede selon F invention pour produire les f facteurs premiers p x , p^, 
p f , et/ou les m nombres de base g l5 g 2 , ... g m comprend Fetape de choisir 
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en premier : 

• le parametre de securite k, 

• les m nombres de base g lj5 g 2> , ... g m , et/ou les f facteurs 
premiers p v p^, ... p f , selon qu'il s'agit respectivement de produire les f 
facteurs premiers p v p v . . . p f ou les m nombres de base g v g v . . . g m . 

De preference, les m nombres de base g l5 g 2 , . . . g m? sont choisis au moins en 
partie parmi les premiers nombres entiers. 

De preference, le parametre de securite k est un petit nombre entier, 
notamment inferieur a 100. 

De preference, la taille du module n est superieure a plusieurs centaines de 
bits. 

De preference, les f facteurs premiers p M p v . . . p f ont une taille voisine de la 
taille du module n divise par le nombre f de facteurs. 

Pour tester la premiere condition, on verifie la compatibility des nombres k, 
p, g en mettant en oeuvre Falgorithme ci-apres, ou h designe un nombre tel 
que 2 h divise le rang de g par rapport apet tel que 2 h+1 ne le divise pas. On 
calcule h a partir du symbole de Legendre (g I p) et d'un nombre b egal a 
une racine 2 % - ieme primitive de F unite dans CG(p), ou le symbole de 
Legendre (g> | pj) et t ont le sens defini ci-apres dans la description. 
Voici les etapes de cet algorithme : 

• si (g | p) = -1 alors h= t, 

• si (g | p) = +1 avec t = 1 , alors h= 0, 

• si (g | p) = +1 avec t > 1, on precede comme indique ci-apres. 
On applique la cle ((p-1+2 1 )/ 2 t+1 , p) a G, on obtient ainsi im resultat w : 

• si w = +g, alors h = 0, 

• si w = p-g, alors h = +1. 

Si w est different de +g ou de p-g (dans ce cas t est superieur a 2), on met 
en oeuvre un sous-module de calcul. On initialise la variable c en lui 
attribuant la valeur b, puis on itere les etapes suivantes du sous-module de 
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calcul pour des valeurs de i allant de t-1 a 2 : 

etape 1 : on applique la cle (2\ p) a w/g(modp), 

* si le resultat obtenu est egal a +1, on passe a F etape 2, 

* si le resultat obtenu est egal a -1, on attribue a h la valeur i et on remplace 
w par w.c(modp), 

etape 2 : on remplace c par c 2 (modp). 
La valeur de h recherchee est celle obtenue la derniere fois ou T application 
de la cle (2 1 , p), conformement a Tetape 1, a produit un resultat egal a —1 . 
On rappelle que : 

■ - k, g, p sont incompatibles lorsque h>l et lorsque k+h >t+l , 

- k, g, p sont compatibles lorsque h = 0 ou 1, quelle que soit la valeur 
de k, ou lorsque h>l et lorsque k+h < t+1. 

Pour tester la deuxieme condition, on verifie qu'au moins un jeu {8 U . . . 5 Uf } 
est variable ou nul, (5 a le sens defini ci-apres dans la description). 
Pour tester la troisieme condition, on verifie qu'il existe un nombre de base 
gi de gj a g m tel que les f symboles de Legendre (g { | p,) a I p f ) soient tous 
egaux a +1 ou bien les f symboles de Legendre (-gilpO a (-gjpf) soient 
tous egaux a +1. 

Pour calculer les f.m composantes privees j des valeurs privees Q 19 Q 2 , 
Q m (Qi,j = Qimod pj), dans le cas ou G s = Q s v mod n, on procede comme 
suit, en distinguant les cas selon les valeurs de t. 
Cas ou t = 1 (c'est-a-dire si pj= 3 (mod4)). 

• on calcule un nombre Sj tel que Sj = ((pj + l)/4) k (mod(pj -l)/2), 

• on en deduit la cle ( s j9 pj), 

• on applique la cle ( s j5 pj) a Gj , 

• on obtient ainsi : w = Gj sj (mod pj). 

Les deux valeurs possibles de Q t j sont w, pj — w. 
Cas ou t = 2 (c'est-a-dire si pj= 5 (mod8)) : 

• on calcule un nombre Sj tel que Sj= ((pj + 3)/8) k (mod(pj -l)/4), 
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• on en deduit la cle ( Sj, Pj), 

• on applique la cle ( Sj, pj) a G 5 , 

• on obtient ainsi : w = G s sj (mod pj) et w'= w.z(mod pj), 
ou z a le sens defini ci-apres dans la description. 

Les quatre valeurs possibles de Q ly j sont w, pj -w, w\ pj -w\ 

Cas ou t >2 (c'est-a-dire si pj= 2*+l (mod2 t+1 )) avec h=0 ou avec h = 1, 

• on calcule s, tel que gj = ((Pj -1 + T)l 2 tH ) k (mod(pj -1)/ 2% 

• on en deduit la cle < Sj, pj), 

• on applique la cle ( Sj, pj) a G x , 

• on obtient ainsi : w = Gj SJ (mod pj). 

Les 2 min(k,t) valeurs possibles de Q^j sont egales au produit de w par Tune 

quelconque des racines 2 min(k * t) -idmes de Funite dans CG(pj). 

Cas ou t >2 (c'est-a-dire si pj= 2'+l (mod2 t+I )) avec h>l et avec h+k < t+1, 

• on calcule Sj tel que ((pj -1 + 2 1 )/ 2 t+l ) k+h l (mod(p j -1)/ 2% 

• on en deduit la cle ( s j5 Pj), 

• on applique la cle ( s j9 Pj) a la puissance 2 h ' x -ieme de G x , 

• on obtient ainsi w, 

Les 2 k valeurs possibles de j appartiennent a V ensemble des produits de 
w par les racines 2 k+h l -iemes primitives de l'unite dans CG(pj). 
Pour calculer les composantes privees Q it j dans le cas ou Gj . Qj V = 1 . mod 
n, on substitue Sj par ((pj -l)/2*) - Sj dans la cle < s j5 pj). 

L/invention conceme egalement un procede faisant application de la 
methode pennettant de produire les f facteurs premiers p x , p v . p f ou les m 
nombres de base g l? , g 2j , . . . g m . 

Ledit procede est destine a prouver a une entite controleur 

- F authenticity d'une entite et/ou 

- 1'integrite d'un message M associe a cette entite, 

au moyen de m couples de valeurs privees Q 19 Q 2 , ... Q m et publiques G l9 
G 2 , ... G m (m etant superieur ou egal a 1) ou des parametres derives de 
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ceux-ci, notamment au moyen des composantes privees Qj j. 

Ledit procede met en oeuvre selon les etapes ci-apres une entite appelee 

temoin. 

Ladite entite temoin dispose des f facteurs premiers Pl et/ou des parametres 
des restes chinois des facteurs premiers et/ou du module public n et/ou des 
m valeurs privees Q 5 et/ou des £m composantes privees j des valeurs 
privees Q i et de Texposant public. 

Le temoin calcule des engagements R dans Tanneau des entiers modulo n. 
Chaque engagement est calcule : 

• soit en effectuant des operations du type 

R = r v modn 
ou r est un alea tel que 0 < r < n, 

• soit en appliquant la methode des restes chinois apres avoir effectue 
des operations du type 

ou r 5 est un alea associe au nombre premier p s tel que 0 < rj < p t , chaque rj 
appartenant a une collection d'aleas {r t , r 2 , ... r f }. 

Le temoin re<?oit un ou plusieurs defis d. Chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires. Le temoin calcule a partir de 
chaque defi d une reponse D, 

• soit en effectuant des operations du type : 

D = r . Q x dl . Q 2 « . . . Q m dm mod n 

• soit en appliquant la methode des restes chinois apres avoir effectue 
des operations du type : 

Di s . Q M dl . Cb d2 . ... Q, m - mod Pi 
Ledit procede est tel qu'il y a autant de reponses D que de defis d et 
d' engagements R. Chaque groupe de nombres R, d, D constitue un triplet 
note {R, d, D}. 
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Description 

Les objectifs des schemas GQ sont Tauthentification dynamique d'entites et 
de messages ainsi que la signature numerique de messages. Ce sont des 
schemas « sans transfert de connaissance ». Une entite prouve : elle connait 
un ou plusieurs nombres prives. Une autre entite controle : elle connait le 
ou les nombres publics correspondants. Uentite qui prouve veut convaincre 
l'entite qui controle sans reveler le ou les nombres prives, de fa<?on a 
pouvoir les utiliser autant de fois que de besoin. 

Chaque schema GQ repose sur un module public compose de grands 
nombres premiers secrets. Un exposant public v et un module public n 
forment ensemble une cle de verification (v, n) signifiant « elever a la 
puissance v modulo n » et mise en oeuvre au moyen d'une ou plusieurs 
equations generiques, toutes du meme type, direct : G= Q (mod ri) ou 
inverse : GxQ v = 1 (mod ri). Le type a un effet sur le deroulement des 
calculs au sein de Tentite qui controle, pas au sein de Tentite qui prouve ; en 
fait, les analyses de securite confondent les deux types. Chaque equation 
generique lie un nombre public G et un nombre prive Q formant ensemble 
un couple de nombres {G, Q}. En resume, chaque schema GQ met en 
oeuvre un ou plusieurs couples de nombres {G, Q] pour la meme cle (v, n). 
Une version classique de schemas GO. appelee ici GOL fait appel a un 
schema RSA de signature numerique. La cle de verification (v, n) est alors 
une cle publique RSA ou Texposant v impair est de preference un nombre 
premier. Chaque schema GQ1 utilise en general un seul couple de nombres 
{G, Q) : le nombre public G est deduit de donnees ^identification selon un 
mecanisme de format qui fait partie integrante du schema RSA de signature 
numerique. Le nombre prive O ou bien son inverse modulo n est une 
signature RSA des donnees ^identification. L'entite qui prouve demontre la 
connaissance d f une signature RSA de ses propres donnees ^identification et 
cette preuve ne revele pas la signature qui reste done secrete pour etre 
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utilisee autant de fois que de besoin. 

Les schemas GQ1 mettent generalement en oeuvre deux niveaux de cles : la 
cle privee de signature RSA est reservee a une autorite accreditant des 
entites se distinguant les unes des autres par des donnees ^identification. 
On dit qu'un tel schema est « base sur l'identite ». Ainsi, un emetteur de 
cartes a puce utilise sa cle privee RSA a remission de chaque carte pour 
calculer un nombre prive Q qu'il inscrit comme cle privee diversified dans 
la carte ; ou encore, un client sur un reseau d'ordinateurs utilise sa cle privee 
RSA a chaque entree en session pour calculer un nombre prive Q qui sera la 
cle privee ephemere du client durant la session. Les entites qui prouvent, 
cartes a puce ou clients en session, connaissent une signature RSA de leurs 
donnees ^identification ; elles ne connaissent pas la cle privee RSA qui, 
dans la hierarchie des cles, se trouve au niveau immediatement superieur. 
Cependant, une authentification dynamique d'entites par GQ1 avec un 
module de 768 bits au niveau d'une autorite demande a peu pres la meme 
charge de travail qu'une authentification dynamique d'entites par RSA avec 
un module de 512 bits a trois facteurs premiers au niveau de chaque entite, 
ce qui permet a l'entite qui prouve d'utiliser la technique des restes chinois 
en calculant un resultat modulo chacun des facteurs premiers avant de 
calculer un resultat modulo leur produit. 

Toutefois, la hierarchie de cles entre une autorite et les entites accreditees 
n'est pas obligatoire. On peut utiliser GQ1 avec un module propre a l'entite 
qui prouve, ce qui permet d'utiliser la technique des restes chinois pour 
reduire les charges de travail de l'entite qui prouve, ce qui ne change pas 
fondamentalement la charge de travail de l'entite qui controle, mis a part le 
fait qu'un module au niveau de l'entite qui prouve peut etre plus court qu'un 
module au niveau de 1'autorite, par exemple 512 bits compares a 768 bits. 
Lorsque l'entite connait les facteurs premiers de son propre module, 
pourquoi faire appel a un schema RSA de signature numerique ?? 
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Une autre version de schemas GO. appelee ici GQ2 elementaire. fait appel 
directement au probleme de la factorisation d f un module n. Dans ce 
contexte, « directement » signifie « sans faire appel a la signature RSA ». 
L'objectif de GQ2 est bien de reduire les charges de travail, non seulement 
de Tentite qui prouve mais aussi de Tentite qui controle. L'entite qui prouve 
demontre la connaissance d'une decomposition de son propre module et 
cette preuve ne revele pas la decomposition qui reste done secrete pour etre 
utilisee autant de fois que de besoin. La securite du protocole GQ2 est 
equivalente a la factorisation du module. 

Chaque entite qui prouve dispose de son propre module n. Chaque schema 
GQ2 met en oeuvre un parametre k, petit nombre plus grand que 1 fixant un 
exposant public v = 2\ et un ou plusieurs couples de nombres {G X ,Q X } a 
{G m , Q m }. Chaque nombre public G. est le carre d'un petit nombre g. plus 
grand que 1 et appele « nombre de base ». Toutes les entites qui prouvent 
peuvent utiliser le ou les memes nombres publics G, a G m . La factorisation 
du module n et le ou les nombres prives Q x a Q m sont alors au meme niveau 
dans la hierarchie des cles. Chaque ieu de cles GQ2 elementaires est defini 
par deux conditions necessaires et suffisantes. 

- Pour chaque nombre de base, aucune des deux equations x = ±g. (mod n) 
n f a de solution en x dans Tanneau des entiers modulo n, c ? est-a-dire que les 
nombres ±g. sont deux residus non quadratiques modulo n. 

- Pour chaque nombre de base, Fequation x v = g-. 2 (mod ri) ou v = 2 k a des 
solutions en x dans Tanneau des entiers modulo n. Le nombre prive Q. ou 
son inverse modulo n est n ! importe laquelle de ces solutions. 

Compte tenu de la deuxieme condition, pour que les nombres ±g. soient 
deux residus non quadratiques modulo n, le module n doit comporter au 
moins deux facteurs premiers congrus a 3 (mod 4) par rapport auxquels le 
symbole de Legendre de g\ differe. Par consequent, tout module compose de 
facteurs premiers dont aucun ou un seul est congru a 3 (mod 4) ne permet 
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pas d'etablir un jeu de cles GQ2 elementaires, ce qui privilegie les facteurs 
premiers congrus a 3 (mod 4). Or en prenant au hasard des grands nombres 
premiers, il s'avere qu'ils sont environ pour moitie congrus a 3 (mod 4) et 
pour moitie a 1 (mod 4). De ce fait, beaucoup de modules RSA en usage ne 
permettent pas d'etablir des jeux de cles GQ2 elementaires. 
Nous introduisons ici les jeux de cles GQ2 generalisees pour surmonter 
cette limitation afin de pouvoir utiliser des techniques GQ2 avec n'importe 
quel module, en particulier, n'importe quel module RSA ; ils reposent sur 
deux principes necessaires et suffisants. 

Le premier principe reproduit la deuxieme condition de GQ2 elementaire. 

— Pour chaque nombre de base g l a g m9 Fequation x v = g* (mod n) ou 
v = 2 k a des solutions en x dans Fanneau des entiers modulo h. 

Parce que le nombre prive Q. ou bien son inverse modulo n est une solution 
a Fequation, k—1 carres successifs modulo n le transforment en un nombre q i 
qui est une racine carree de G f dans Fanneau des entiers modulo n. Selon 
que le nombre q. est egal a Tun des deux nombres g. ou n—g p ou different 
des deux nombres g. et n—g p nous disons qu r il est trivial ou non. Lorsqu ! un 
nombre q. est non trivial, n qui divise q*—g* ne divise ni q—g. ni q t +g r Tout 
nombre q. non trivial revele done une decomposition du module n. 

n = pgcd(#i, ^-g^xpgcdCn, q+g) 
Le deuxieme principe elargit la premiere condition de GQ2 elementaire. 

— Parmi les nombres q x a q m9 au moins un nombre q. est non trivial. 
Observons que si un nombre q. existe alors que les nombres ±g. sont deux 
residus non quadratiques dans Fanneau des entiers modulo n, le nombre q. 
est manifestement non trivial. Ainsi, les jeux de cles GQ2 elementaires font 
bien partie des jeux de cles GQ2 generalises qui permettent d'utiliser 
n'importe quel module, e'est-a-dire toute composition de grands nombres 
premiers congrus indifferemment a 3 ou a 1 (mod 4) dont au moins deux 
sont distincts. Par contre, beaucoup de jeux de cles GQ2 generalises ne 
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sont pas des jeux de cles GQ2 elementaires. Chaque jeu de cles GQ2 
generalisees est dans Tun des deux cas suivants. 

- Lorsque les 2xm nombres ±g l a ±g m sont tous des residus non 
quadratiques, c ! est un jeu de cles GQ2 elementaires. 

- Lorsque parmi les 2xm nombres ±g l a ±g m9 il y a au moins un residu 
quadratique, ce n f est pas un jeu de cles GQ2 elementaires; c'est ce que 
nous appelons ici un jeu de cles GQ2 complementaires. 

La presente invention porte sur les ieux de cles GQ2 complementaires , par 
definition, ces jeux de cles GQ2 generalisees qui ne sont pas elementaires. 
Outre les deux principes precedents, un tel jeu doit satisfaire un troisieme 
principe. 

- Parmi les 2xm nombres ±g x a ±g m , il y a au moins un residu quadratique. 
Pour apprehender le probleme et comprendre la solution que nous en 
donnons, c'est-a-dire Finvention, analysons d'abord la decomposition du 
module n revelee par un nombre q non trivial, puis rappelons la technique 
des restes chinois, puis, la notion de rang dans un corps de Galois CG(p) ; 
puis, etudions les fonctions « elever au carre » dans CG(p) et « prendre une 
racine carree » d'un residu quadratique dans CG(p) ; enfin, analysons 
1' applicability des trois principes enonces ci-dessus. 

Analyse des decompositions du module — De meme que le module n se 
decompose en / facteurs premiers p x kp p Tanneau des entiers modulo n se 
decompose en / corps de Galois CGO,) a CGO^). Dans chaque corps, il y a 
deux racines carrees de Tunite, a savoir ±1. Dans Tanneau, il y a done if 
racines carrees de Tunite. Chaque nombre prive O x a O m definit un nombre 
A = 9, 1 gi (mod n) qui est une de ces if racines carrees de l'unite dans 
Tanneau ; en d'autres termes, n divise A. 2 — 1. 

• Lorsque q. est trivial, c f est-a-dire A = ±1, /? divise A-l ou bien A.+ l et 
done A ne revele pas de decomposition du module n. 

• Lorsque q. est non trivial, c f est-a-dire A. ^±l,«ne divise ni A-l ni A.+ l 
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et done A revele une decomposition, n = pgcd(«, A-l)xpgcd(«, A.+l), 
resultant de la valeur de A. dans chaque corps : le ou les facteurs premiers 
divisant A-l d'un cote, celui ou ceux divisant A,+l de l'autre. 
Examinons les regies de composition multiplicative des nombres q. Deux 
nombres {q x , q 2 ) donnent un nombre compose q t xq 2 (mod ri). 

- Lorsque q x est non trivial et q 2 trivial, le nombre compose q x xq 2 (mod ri) 
est non trivial ; il revele la meme decomposition que q v 

- Lorsque q t et q 2 sont non triviaux et A, = ±A 2t le nombre compose q x xq 2 
(mod ri) est trivial ; il ne revele pas de decomposition. 

- Lorsque q x et q 2 sont non triviaux et A, * ±A 2 , le nombre compose q x xq 2 
(mod ri) est non trivial ; il revele une troisieme decomposition. 

Trois nombres {q x , q 2 , q 3 ) donnent quatre nombres composes {q x xq v q x xq 3 , 
q 2 xq 3 , q x xq 2 xq } (mod ri)}, soit un total de sept nombres ; m nombres donnent 
ainsi 2 m -m-\ nombres composes, soit un total de T-\ nombres. 
Considerons un jeu de cles GQ2 generalises comportant i nombres de base 
g, a g t et / nombres prives Q x a Q, donnant i nombres q, a q t et done i 
nombres A, a A, qui sont des racines de 1'unite. Cherchons a prendre en 
compte un autre nombre de base g M par un nombre prive Q M donnant un 
nombre q l+} et done une racine A rtJ . 

• Le total des 2 M -l nombres comporte autant de nombres non triviaux dans 
chacun des deux cas suivants. 

- La racine A (+I est triviale et au moins une racine A, a A. est non triviale. 

- La racine A +I est non triviale et figure parmi les 2xi racines ±A, a ±A f . 

• Dans le cas ou la racine A, +1 est non triviale et ne figure pas parmi les 2xi 
racines ±A, a ±A„ chaque nombre compose ou figure q M est non trivial. 

Par consequent, lorsque parmi m nombres q, a q m , au moins un est non 
trivial, plus de la moitie du total des 2 m -l nombres sont non triviaux. 
Par definition, nous disons que / </ nombres non triviaux {q x ,q v ... qj 
sont independants par rapport au module n lorsque chacun des 2'-/-l 
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nombres composes correspondants est non trivial, c'est-a-dire que, au total, 
les 2-1 nombres sont tous non triviaux. Chacun de ces 2—1 nombres revele 
alors une decomposition differente du module n. 

- Lorsque les / facteurs premiers sont distincts, il y a 2^—1 decompositions 
du module n. Alors, si f-1 nombres q sont independants, il y a une 
correspondance biunivoque entre les 2^-1 decompositions et im total de 
2^-1 nombres comprenant les f-l nombres independants et les 2^ l -f 
nombres composes correspondants. 

Restes chinois — Soient deux nombres a et b premiers entre eux tels que 
0 < a < b, et deux nombres X a de 0 a a-\ et X b de 0 a b-l ; il s'agit de 
determiner le nombre unique Jde 0 a axb-l tel que X a = X(mod a) et 
X b =X (mod b). Le nombre a= {b (mod a)}' 1 (mod a) est le parametre des 
restes chinois. Voici l'operation elementaire des restes chinois. 
x = X b (mod a) 

y = X a —x ; si y est negatif, remplacer y par y+a 

z = axy (mod a) 

X=zxb+X b 

En resume, nous ecrivons : X= Restes Chinois (X a9 X b ). 
Lorsque / facteurs premiers sont ranges dans l'ordre croissant, du plus petit 
p x au plus grand p p les parametres des restes chinois peuvent etre les 
suivants (il y en a un de moins que de facteurs premiers, c'est-a-dire f—l). 

- Le premier parametre est a = (p 2 (mod p { )y ] (mod /?,). 

• Le second parametre est p = (PjXp 2 (mod pjy 1 (mod /? 3 ). 

- Le z-ieme parametre est X = (p,x . . . p.^ (mod p))~ l (mod /?.). 

- Et ainsi de suite. 

En f-1 operations elementaires, on etablit un nombre JdeOa «— 1 a partir 
de tout jeu de / composantes de X ] a X f avec X. de 0 a p-1 : 

- un premier resultat (mod p 1 xp 2 ) avec le premier parametre, 

- puis, un second resultat (mod p,xp 2 xp 3 ) avec le second parametre, 
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- jusqu'au resultat final (mod n = p l xp 2 x . . . p) avec le dernier parametre. 
En resume, etant donnes les facteurs premiers p x a p p chaque element de 
Tanneau des entiers modulo n a deux representations equivalentes : 

- / nombres X x a X p une composante par facteur premier : X s X (mod /? ), 

- un nombre X de 0 a n— 1 , X — Restes Chinois {X x , X 2 , . . . . 

Rang des nombres dans CG(p) — Soit un nombre premier impair /? et un 
nombre a plus petit que /?, c f est-a-dire 0<a<p. Par definition, le rang de a 
par rapport a p est la periode de la suite {X} definie par {x x = a ; puis, pour 

1 > 1, x f+J = axx. (mod p)}. Grace au theoreme de Fermat, nous obtenons : 
x^ p = afxx = axx = jt^, (mod Par consequent, le rang d'un nombre a par 
rapport a un nombre premier p est p— 1 ou un diviseur de p-l . 

Par exemple, lorsque (p-l)/2 est un nombre premier impair p \ le corps de 
Galois CG(p) comporte im nombre de rang 1 : c'est 1, un nombre de rang 

2 : c'est -1 , p -1 nombres de rang p ' et p -1 nombres de rang 2xp ' = . 
Dans CG(p), tout nombre de rang p-l est un « generateur ». La denomi- 
nation est due au fait que les puissances successives d ? un generateur dans 
CG(p), c'est-a-dire les termes de la suite {X} pour les indices de 1 a p-l, 
forment une permutation de tous les elements non nuls de CG(p). 

Soit un generateur y de CG(p). Evaluons le rang du nombre y (mod p) en 

fonction de i et de p—1 . Lorsque i est premier avec p-\ , c'est p— 1 . Lorsque i 

divise p-l 9 c'est (p-l)//. Dans tous les cas, c'est (p-l)/pgcd(p-l, i). 

Par definition, la fonction d'Euler cp(n) est le nombre de nombres plus petits 

que n et premiers avec n. Dans CG(p), il y a (p(p-l) generateurs. 

A titre d' illustration, le rang fait bien comprendre les bases du RSA. Le 

module n est le produit de / facteurs premiers p x a p f avec/> 2. Pour chaque 

facteur premier p. de p { a Texposant public e doit etre premier avec p-l . 

Alors, la cle (e,/?) respecte le rang des elements de CG(/?.) : elle permute les 

elements de CG(p) ; il existe un nombre d p generalement le plus petit 
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possible, tel que p.-l divise exd-l. La cle id p p) inverse la permutation des 
elements de CG(p). Ces / permutations, une dans chaque corps CG(p { ) a 
CG(p), se traduisent dans l'anneau des entiers modulo n par la permutation 
RSA resumee par la cle publique (e, n). II existe un nombre d, generalement 
le plus petit possible, tel que ppcmO-1, p 2 -l, ... pj-l) divise dxe-\. Pour 
chaque facteur premier /? de p x a p p on ad. = d (mod joy-l). La permutation 
RSA resumee par la cle publique (e, n) est inversee par la cle privee (d, n). 
Carres dans CG(p) — Defmissons un nombre t tel que p-\ est divisible 
par 2', mais pas par 2 /+1 . Chaque grand nombre premier figure dans une et 
une seule categorie: r == 1, t = 2, r=3 3 / = 4, et ainsi de suite. Si Ton 
considere un assez grand nombre de nombres premiers successifs, environ 
un sur deux figure dans la premiere categorie ou p est congru a 3 (mod 4), 
un sur quatre dans la deuxieme ou p est congru a 5 (mod 8), un sur huit 
dans la troisieme ou p est congru a 9 (mod 16), un sur seize dans la 
quatrieme ou p est congru a 17 (mod 32), et ainsi de suite ; en moyenne, un 
sur 2* figure dans la Merne categorie ou p est congru a 2'+l (mod 2' +l ). 
Parce que les nombres x et p~x ont le meme carre dans CG(p), la cle (2, p) 
ne permute pas CG(p). La fonction « elever au carre » dans CG(p) peut se 
representer par un graphe oriente ou chaque element non nul du corps 
trouve sa place. Analysons la structure du graphe en branches et en cycles 
selon la parite du rang de chaque element. 

L'element nul est fixe . Cest 0. Le rang n'est pas defini pour Telement 
nul auquel aucun autre element ne se rattache ; Telement nul est isole. 
Uelement unite est fixe . Cest 1, le seul element de rang 1. Toutes les 
racines de Tunite dans CG(p) se trouvent dans la branche se rattachant a 
1 . Soit y un residu non quadratique de CG(p), n f importe lequel ; la cle 
((p-l)/2\p) transforme y en une racine 2 / " 1 -ieme primitive de -1 notee 
par b ; en effet, on a y p ~ 1)/2 s~l (mod p). Par consequent, dans CG(p), 
les puissances de b pour les exposants de 1 a 2 1 ' 1 sont les 2'"' racines de 
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Tunite autres que 1 : elles composent la branche se rattachant a 1. 
Le carre de tout element de rang pair est un autre element dont le rang 
est divise par deux . Par consequent, chaque element de rang pair se 
place dans une branche ; chaque branche comporte un nombre de rang 
divisible par deux mais pas par quatre, puis, si t > 2, deux nombres de 
rang divisible par quatre mais pas par huit, puis, si t > 3, quatre 
nombres de rang divisible par huit mais pas par seize, puis, si t > 4, huit 
nombres de rang divisible par seize mais pas par 32, et ainsi de suite. 
Toutes les branches sont semblables a la branche rattachee a 1 ; les 2 M 
feuilles de chaque branche sont des residus non quadratiques ; chaque 
branche comporte 2—1 elements et se rattache a un element de rang 
impair ; il y a (p-l)/2' branches qui ont toutes la meme longueur /. 
Le carre de tout element de rang impair autre que Telement unite est un 
autre element avant le meme rang . La cle (2,p) permute r ensemble des 
(p-l)/2' elements de rang impair. La permutation se decompose en 
cycles de permutation. Le nombre de cycles depend de la factorisation 
de (p—l)/2\ Pour chaque diviseur p' de (p-l)/2', il y a un cycle 
comportant les cp(pO elements de rang p\ Rappelons que par definition, 
la fonction d'Euler (pip') est le nombre de nombres plus petits que p' et 
premiers avec p'. Par exemple lorsque p f = (p-l)/2 l est premier, les p -1 
nombres de rang p' forment un grand cycle de permutation. 
Les figures 1A a ID illustrent chacune un fragment de graphe pour p 
congru respectivement a 3 (mod 4), 5 (mod 8), 9 (mod 16) et 17 (mod 32). 
Les feuilles sur les branches sont representees par des ronds blancs ; 
ce sont des residus non quadratiques. 

Les nceuds dans les branches sont representes par des ronds gris ; ce 
sont des elements quadratiques de rang pair. 

Les noeuds dans les cycles sont representes par des ronds noirs ; ce 
sont des elements quadratiques de rang impair. 
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Racines carrees dans CG(p) — Sachant que a est un residu quadratique de 
CG(p), voyons comment calculer une solution a V equation x 2 = a (mod /?), 
c f est-a-dire « prendre ime racine carree » dans CG(p). II y a bien sur 
plusieurs fa<?ons d'obtenir le meme resultat : on pourra consulter les pages 
31 a 36 du livre de Henri Cohen, a Course in Computational Algebraic 
Number Theory \ publie en 1993 par Springer a Berlin comme volume 138 
de la serie Graduate Texts in Mathematics (GTM 138). 
Le nombre s = (p-l+2 / )/2 r+I donne une cle (s,p) qui vaut : 

((p+l)/4,p) lorsque p est congru a 3 (mod 4), 

((p+3)/$,p) lorsque p est congru a 5 (mod 8), 

((p+7)/l6,p) lorsque p est congru a 9 (mod 16), 

<(/?+15)/32,/?) lorsque p est congru a 17 (mod 32), 

et ainsi de suite. 

- La cle (s,p) transforme tout element d'un cycle en Telement precedent 
dans le cycle. Lorsque a est de rang impair, c'est la solution de rang impair ; 
nous la nommons w. En effet, dans CG(p), wla vaut a eleve a la puissance 
(2x(p-l+2yT l )-l = (p-l)/2\ L'autre solution est de rang pair ; c'est p-w. 

- D'une maniere generale, la cle (s,p) transforme tout residu quadratique a 
en une premiere approximation de solution que nous nommons r. Puisque a 
est un residu quadratique, la cle (2'~\p) transforme certainement rla en 1. 
Pour se rapprocher d'une racine carree de a, elevons rla a la puissance 2'~ 2 
(mod p) pour obtenir +1 ou — 1. La nouvelle approximation reste r si le 
resultat est +1 ou bien devient bxr (mod p) si le resultat est -1, sachant que 
b designe n ! importe quelle racine 2'-ieme primitive de 1 dans le corps 
CG(p). Par consequent, la cle <2'~ 2 , p) transforme la nouvelle approximation 
en L On peut encore se rapprocher en utilisant la cle (2'~ 3 ,/?) et en 
multipliant par b 2 (mod p) s'il le faut, et ainsi de suite. 

L'algorithme suivant resout Tequation. II utilise les nombres a, Z>, p, r et / 
definis ci-dessus et deux variables : c represente les corrections successives 



WO 01/26278 




PCT/FR00/02715 



et w les approximations successives. Au debut de Talgorithme, c = b et 
w = r. A Tissue du calcul, les deux solutions sont w et p-w. 
Pour i allant de /-2 a 1, repeter la sequence suivante : 

- Appliquer la cle <2',/?) au nombre w 2 /a (mod p) pour obtenir +1 ou -1 . 

- Lorsque Ton obtient -1 , remplacer w par wxc (mod /?). 

- Remplacer c par c 2 (mod /?). 

Applicability des principes — Par definition, nous disons qu f un parametre 
£, un nombre de base g et un facteur premier p sont compatibles lorsque 
Tequation x' s g 2 (mod /?) ou Texposant v vaut 2 k a des solutions en x dans le 
corps CG(p). Les nombres ketg sont petits et plus grands que 1. Le nombre 
p est un grand nombre premier. 

- Lorsque t = 1, c f est-a-dire /? = 3 (mod 4), Tequation a deux solutions. 

- Lorsque t = 2, c f est-a-dire s 5 (mod 8), selon le symbole de Legendre de 
g par rapport a p, Tequation a quatre solutions si (g\p) = +1 ; elle n'a pas de 
solution si (g\p) = -L 

- Lorsque t > 2, c'est-a-dire p s 1 (mod 8), soit w le nombre tel que 2 tt divise 
le rang du nombre public G = g par rapport a p, mais que 2 W+1 ne le divise 
pas ; par consequent, u est egal a Tun des nombres de 0 a /— 1 . Uequation n'a 
aucune solution si u > 0 et k+u > t ; elle a 2 k solutions si k+u < t ; elle a 21 
solutions si u — 0 et k > t. 

II y a done deux types de compatibility selon que G est dans un cycle ou 

bien en position appropriee dans une branche. 

Lorsque G est dans un cycle, c f est-a-dire u = 0 quelle que soit la valeur 
de k, il y a une solution de rang impair dans le cycle et des solutions 
de rang pair disseminees dans a = min(/:, t) branches consecutives 
rattachees au cycle, soit 2 a solutions en tout. La figure 2A illustre ce 
cas avec k > t — 3, e'est-a-dire un facteur premier congru a 9 (mod 16), 
ce qui impose u = 0. 

Lorsque G est en position appropriee dans une branche, c ! est-a-dire 
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u > 0 et u+k < t 9 il y a 2 A solutions, toutes de rang pair et dans la 
branche. La figure 2B illustre ce cas. 
Etant donne un parametre A:, il y a done deux types de facteurs premiers 
selon que la valeur de t est inferieure a k ou bien superieure ou egale a k. 
Pour tout facteur premier p. tel que t < £, chaque G doit etre dans un 
cycle et il n ? y a pas de solution dans la branche rattachee a G r 
Defmissons un nombre A tJ qui vaut +1 ou -1 selon que g t ou -g. est 
dans le cycle. II n ! y a pas de choix pour aucun des m nombres A XJ a A mJ . 
La figure 3 A illustre un cas t<k: G est dans un cycle avec un facteur 
premier p. congru a 9 (mod 16), e'est-a-dire, u = 0, / = 3 avec k > 3. 
Pour tout facteur premier p } tel que t > k, chaque G doit etre tel que 
u+k<t, c f est-a-dire, ou bien dans un cycle avec u = 0 ou bien en 
position appropriee dans une branche avec 1 < u < t-k. Definissons un 
nombre A fJ qui vaut +1 ou -1 selon que Q Lj se trouve dans la partie de 
graphe rattachee a g. ou a -g r II y a le choix pour chacun des m 
nombres a A mj ; chaque nombre A. , peut etre individuellement 
bascule d'une valeur a Tautre. La figure 3B illustre un cas t > k : G. est 
dans une branche avec un facteur premier p. congru a 17 (mod 32), 
e'est-a-dire, u = 1, t = 4 avec k=3. 
Chaque jeu de / composantes {A., ... A.^} est une racine carree de Funite 
dans CG(p). Cette racine est triviale ou pas selon que les / composantes 
sont egales ou pas ; nous disons alors que le jeu de / composantes est 
constant ou variable, ce qui traduit le fait que le nombre q i est trivial ou pas. 
Par consequent, lorsqu'un nombre q. est non trivial, le jeu de /composantes 
{A n ... A if } resume une decomposition du module. II est done possible de 
tester les principes avant de calculer les composantes privees Q ir 

- Lorsqu'un nombre public G. est dans un cycle pour un facteur premier 
p p le nombre A. y vaut +1 ou -1 selon que g. ou -g\ est dans le cycle. 
Lorsque p j = 3 (mod 4), e'est le symbole de Legendre : A i} = (g t \p). 
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- Lorsqu'un nombre public G. est en position appropriee dans une 
branche pour un facteur premier p p on peut determiner la valeur a donner 
a A v avant de calculer la composante privee Q tJ . 

Production de jeux de cles — Etant donne un parametre k, il y a deux 

strategies. 

Ou bien le generateur demande / facteurs premiers afin de determiner m 
nombres de base. Les premiers nombres premiers : 2, 3, 5, 7, ... sont 
examines pour evaluer leur compatibility avec chacun des / grands 
facteurs premiers p l a p f Bien que g = 2 ne soit pas compatible avec 
p = 5 (mod 8), 2 peut entrer dans la composition d'un nombre de base. 
En effet, lorsque deux nombres sont en position similaire dans une 
branche, leur produit est plus pres du cycle, tout comme un carre 
rapproche du cycle. On peut ainsi obtenir un nombre de base en 
composant des nombres qui individuellement ne conviennent pas. 
Ou bien le generateur demande m nombres de base et des caracteris- 
tiques du module telle qu'une taille en bits (par exemple, 512, 768, 
1024, 1536, 2048) et un nombre de bits successifs a 1 en poids forts 
(par exemple, 1, 8, 16, 24, 32) afin de determiner / > 2 facteurs 
premiers. Notes par g l g 2 ... g m9 les nombres de base figurent 
generalement parmi les premiers nombres premiers : 2, 3, 5, 7, 1 1, ... 
ou bien ce sont des combinaisons des premiers nombres premiers. Faute 
d'indication contraire, ce sont les m premiers nombres premiers : g l = 2, 
S 2 = 3 > £ 3 = 5 > = 7 > ■ - Notons que p = 5 (mod 8) n'est pas compatible 
avec g = 2. Le module n sera le produit de / facteurs premiers de tailles 
voisines, a savoir la taille assignee au module divisee par/ 
Premier principe — Le parametre k, chaque facteur premier p allant de p x a 
p f et chaque nombre de base g allant de g x a g m doivent etre compatibles. 
Definissons xm nombre h tel que 2 h divise le rang de g par rapport a p, alors 
que 2 h+l ne le divise pas. Pour calculer le nombre h, la procedure suivante 



WO 01/26278 




PCT/FROO/02715 



utilise le symbole de Legendre (g\p) et un nombre b, racine 2'-ieme 
primitive de Tunite dans CG(p). 

- Si (g\p) = +1 avec t — 1 , retourner « h = 0 ». 

- Si (g\p) = +1 avec * > 1, appliquer la cle ((p-l+2')/2 ,+l ,/?) a G pour obtenir 
un resultat appele w. 

Si w = +g, retourner « /z = 0 ». 

Si w = />— g, retourner « /* = 1 ». 

Sinon, mettre c a 6 et pour / allant de f-1 a 2, 

- appliquer la cle <2' 5 a w/g (mod p) pour obtenir ±1, 

- si — 1 , mettre h a / et remplacer w par wxc (mod p), 

- remplacer c par c (mod jo). 
Retourner « valeur de h de 2 a t— 1 ». 

- Si (gip) = -1, retourner « h = / ». 

Rappelons que k y g etp sont incompatibles lorsque u > 0 avec k+u > t ; ils 
sont compatibles lorsque A = 0 ou 1, quelle que soit la valeur de k, et 
egalement lorsque h > 1 avec < /+1 . 

Second principe — Les trois procedures suivantes correspondent a differen- 
tes implementations du second principe. Dans certaines implementations, le 
second principe peut etre renforce au point d ? exiger que chaque nombre q x a 
q m soit non trivial. Le role des nombres de base est alors equilibre ; le fait 
d'equilibrer ou pas le second principe a un effet sur certains aspects de 
demonstration de la securite du schema. Enfin, lorsqu f il ya/> 2 facteurs 
premiers distincts, parmi les m nombres {q x ... qj, on peut exiger qu f il y ait 
au moins un sous ensemble de f-\ nombres independants. 
Les trois procedures utilisent mx/nombres b Lj definis comme suit. 

Lorsque p j est tel que t < k, pour z allant de 1 am, 5. ; = A iJ9 c'est-a-dire 

+1 si /r. = 0et-l si h.. = 1. 

Lorsque p est tel que t > k, pour i allant de 1 a w, 8 U = 0, ce qui indique 
que A ly a A mJ peuvent etre choisis en fonction du deuxieme principe. 
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Une premiere procedure verifie qu'au moins un jeu {5., ... 5^} est variable 
ou nul, c f est-a-dire qu'au moins un nombre q } a q m est non trivial ou peut 
etre choisi non trivial. 

Pour i allant de 1 a m ety allant de 1 a/, 
si 5 /V = 0 ou ^ 5. p retoumer « succes ». 

Retourner « echec ». 
Une deuxieme procedure verifie que chaque jeu {5 U ... est variable ou 
nul, c'est-a-dire que chaque nombre q x a q m est non trivial ou peut etre choisi 
non trivial. 

Pour i allant de 1 am, 
pour j allant de 1 a/, 

- si 8.J = 0 ou =f 8 U , passer a la valeur suivante de i. 
Retoumer « echec ». 

Retoumer « succes ». 
Une troisieme procedure verifie que pour chaque paire de facteurs premiers 
p n et p p avec 1 <j\ <J 2 </ il y a au moins un jeu {8 U ... 5.^} ou 8 yi est nul 
ou different de 8 iJ2 . Elle echoue manifestement lorsque m est plus petit que 
f-\. Lorsqu'elle reussit, parmi les m nombres q } a q m , il y a au moins un 
ensemble def-l nombres independants par rapport aux / facteurs premiers. 

Pour j\ allant de 1 kf-l et pour j 2 allant de j x +l kf, 
pour / allant de 1 a m, 

- si 8 (VI = 0 ou * b iJ29 passer aux valeurs suivantes de j\ et j T 
Retoumer « echec ». 

Retoumer « succes ». 
Lorsqu'une procedure echoue, le generateur de jeux de cles GQ2 suit sa 
strategie parmi les deux strategies possibles : 

- changer Vun des m nombres de base en gardant les / facteurs premiers, 

- changer Tun des / facteurs premiers en gardant les m nombres de base. 
Troisieme principe — La procedure suivante determine si le jeu de cles 
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GQ2 generalisees en cours de production ou deja produit est 

un jeu de cles GQ2 elementaires, c'est-a-dire que les 2xm nombres 
±g l a ±g m sont tous des residus non quadratiques, 
ou bien, un jeu de cles GQ2 complementaires, c f est-a-dire que parmi 
les 2xm nombres ±g l a ±g m9 il y a au moins un residu quadratique. 

La procedure utilise les deux symboles de Legendre (g. | p) et (-g. \ p) pour 

i allant de 1 a m et pour j allant de 1 af. 
Pour i allant de 1 a m, 
pour j allant de 1 kf, 

- si (Si \p) = "li passer a la valeur suivante de L 
Retourner « jeu de cles GQ2 complementaires ». 
pour j allant de 1 a/, 

- si (—g. | Pj) = — 1 , passer a la valeur suivante de /. 
Retourner « jeu de cles GQ2 complementaires ». . 

Retourner « jeu de cles GQ2 elementaires ». 
Composantes privies — Pour une equation de type direct : x = g. 2 (mod p), 
les calculs suivants etablissent toutes les valeurs possibles de la composante 
privee Q ir Les deux cas les plus simples et les plus courants, c ? est-a-dire 
t - 1 et t = 2 ? sont suivis par le cas plus complexe, c ! est-a-dire t > 2. 
Pour t = 1, c'est-a-dire p. = 3 (mod 4), la cle ((p+l)/4 9 p) donne la racine 
carree quadratique de n'importe quel residu quadratique dans CG(p ; ). On en 
deduit un nombre 5 = ((p^l)/4) k (mod (p-l)/2), ce qui donne une cle (s.,p) 
transformant G i enw = G* J (mod p). O tJ est egal a w ou bien a p—w. 
Pour / = 2, c'est-a-dire p. = 5 (mod 8), la cle ((p+3)/& 9 p) donne la racine 
carree de rang impair de n'importe quel element de rang impair dans 
CG(p). On en deduit un nombre s = ((p+3)/8)* (mod (p r l)/4), ce qui 
donne une cle (s p p) transformant G. en w = G/ y (mod p). Remarquons que 
z == 2^ 0/4 (mod p) est une racine carree de -1 parce que 2 est un residu non 
quadratique dans CG(p). Q Lj est egal a w ou bien a p-w ou bien encore a 
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vi/ = wxz (mod p) ou bien a p-w*. 

Pour p. = 2'+l (mod 2 /+I ) avec * > 2, la cle {(p-\+2y2"\ p) donne la racine 
carree de rang impair de n'importe quel element de rang impair. Le test de 
compatibility entre k, get pa donne la valeur de h, puis celle de u. 

- Lorsque G f est dans un cycle (u = 0, quelle que soit la valeur de k\ on 
etablit un nombre s. = (fpj-l+iyTY (mod (p-l)/2% La cle (s pP ) 
transforme G. en la solution de rang impair w = G* J (mod p). II y des 
solutions de rang pair reparties dans min(£ ? /) branches consecutives 
rattachees au cycle, disons dans a branches. Q tj est egal au produit de w 
par n'importe laquelle des racines 2 a -iemes de l f unite dans CG(p y ). 

- Lorsque G. est en position appropriee dans une branche (u > 0, u+k < t\ 
toutes les solutions sont dans la meme branche que G. 9 branche rattachee 
a un cycle par la puissance 2 M -ieme du nombre G . On etablit un nombre 
jj, s ((p r l+2y2'*Y u (mod (p r l)/2 t ). La cle {s p p) transforme la puissance 
2"-ieme de G. en im nombre de rang impair w. L'ensemble des produits 
de w par les racines 2* +u -iemes primitives de Tunite dans CG(p) 
comprend les 2 k valeurs de Q ir 

Lorsque p est tel que t > k, le nombre b. etant une racine 2 '-ieme primitive 
de Tunite dans CG(p) 9 la puissance 2"" M -ieme de b. dans CG(p) existe ; c'est 
xme racine 2*-ieme primitive de Tunite. Multiplier Q.. par une racine 2*-ieme 
primitive de Tunite permet de basculer la valeur du nombre A r 
Pour une equation de type inverse : 1 == x v xg* (mod p), il suffit de remplacer 
le nombre s par ((pr-iyi^-s. dans la cle (s p p), ce qui revient a inverser la 
valeur de Q u dans CG(p). 

Exemple de jeii de cles a deux facteurs premiers congrus a 5 (mod 8) 

p x - E6C83BF428689AF8C35E07EDD06F9B39A659829A58B79CD894C 
435C95F32BF25 

p 2 = 1 1 BF8A68A08 1 7BFCC00F 15731 C8B70CEF9204A34 1 33 A0DEF862 
829B2EEA74873D 
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n = Pl xp 2 = FFFF8263434F173D0F2E76B32D904F56F4A5A6A50008C43 
D32B650E9AB9AAD2EB713CD4F9A97C4DBDA3828A3954F296458D5 
F42C0 1 26F5BD6B05478BEOA80ED 1 

Voici les symboles de Legendre des tout premiers nombres premiers. 

(2 !/>,) = -1; (3 |/0 = -1; (5 I/*,) = +1; (7 |/0 = -1; 

(11 |/0 = +1; (13 I/O - -1; (17 I/O - 

Dans CG(/0, le rang est impair pour -5, -1 1 et 17. 

(2 I/O = -1; (3 I/O = +1; (5 I/O = +1; (7 I/O = +1; 

(ii I/O = +i; 03 I/O = -i; 07 I/O =-i; 

Dans CG(/0> l e ran S est impair P our 3, -5, 7 et 1 1 . 

La fonction de Carmichael est X(n) = ppcm((p,-l)/4, 0 2 -l)/4). 

M.n) = 33331A13DA4304A5CFD617BD6F83431 164212 1543334F40C3D5 

7A9C8558555D5BDAA2EF6AED17B9E3794F51A65A1B37239B18FA9 

B0F618627D8C7E1D8499C1B 

Avec k = 9, on utilise le nombre c = Mn) - ((l+X(n))/2) 9 (mod M")) comme 
exposant prive, de facon a utiliser des equations generiques de type inverse, 
a = 01E66577BC997CAC273671E187A35EFD25373ABC9FE6770E7446 
C0CCEF2C72AF6E89D0BE277CC6165F1007187AC58028BD2416D4CC 
1 121E7A7A8B6AE186BB4B0 

Les nombres 2, 3, 7, 13 et 17 ne conviennent pas comme nombre de base. 
La cl6 (a, n) transforme g, = 5 en un nombre prive Q t qui ne revele pas de 
decomposition. En effet, dans les deux corps, -5 est sur un cycle. 
Q t = 818C23AF3DE333FAECE88A71C4591A70553F91D6CODD5538EC 
0F2AAF909B5BDAD49 1FD8BF13F1 8E3DA3774CCE1 9D0097BC4BD4 
7C5D6E0E7EBF6D89FE3DC5 1 76C 

La cle (c, n) transforme g, = 11 en un nombre prive Q 2 qui revele une 
decomposition. En effet, 1 1 n'est pas en meme position dans les deux corps. 
Q 2 = 25F9AFDF177993BE8652CE6E2C728AF31B6D66154D3935AC535 
196B07C19080DC962E4E86ACF40D01FDC454F2565454F290050DA05 
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2089EEC96A1B7DEB92CCA7 

La cle <o, n) transforme g 3 = 2 1 = 3x7 en un nombre prive 0 3 qui revele une 
decomposition. 

0 3 = 78A8A2F30FEB4A5233BC05541AF7B684C2406415EA1DD67D18 
A0459 A 1254121 E95D5C AD8 A 1 FE3 ECFE0685C96CC7EE86 1 67D99532 
B3A96B6BF9D93CAF8D4F6AF0 

La cle <a, n> transforme g 4 = 26 = 2x13 en un nombre prive 0 4 qui revele 
une decomposition. 

Q A = 6F1748A6280A200C38824CA34C939F97DD2941DAD300030E481 
B738C62BF8C67373 1 5 14D1 978AF5655FE493D6595 14A6CE897AB76C 
01E50B5488C5DAD12332E5 

La cle privee peut encore se representer par les deux facteurs premiers, le 
parametre des restes chinois et huit composantes privees. 
a = (p, (mod p,)) -1 (mod p t ) = ADE4E77B703F5FDEAC5B9AAE825D649 
E06692D 1 5FBF0DF73 7B 1 1 5DC4D0 1 2FD 1 D 

= Q\ (mod p t ) = 7751A9EE18A8F5CE44AD73D613A4F465E06C6F9 
AF4D229949C74DD6C 1 8D76FAF 

Qm = Q\ (mod p 2 ) = A9EB5FA1B2A981AA64CF88C382923DB64376F5F 
D48 1 52C08EEB6 1 1 4F3 1 B7665F 

02.1 = Qi (mod p x ) = D5A7D33C5FB75A033F2F0E8B2O274B957FA3400 
4ABB2C2AC 1 CA3F5320C5 A9049 

02.2 = 02 (mod p 2 ) = 76C9F5EFD066C73A2B5CE9758DB512DFC01 1F5B 
5 AF7DA8D39A96 1 CC876F2DD8F 

03.1 = 03 (mod Pl ) = 2FEC0DC2DCA5BA7290B27BC8CC85C938A514B 
8F5CFD55820A174FB5E6DF7B883 

03.2 = 03 (mod p 2 ) = 010D488E6B0A38A1CC406CEE0D55DE59013389D 
8549DE49341 3F34604A 1 60C 1 369 

04,i = 04 (mod />,) = A2B32026B6F82B6959566FADD9517DB8ED85246 
52 1 45EE 1 59DF3DC0C6 1 FE3 61 7 
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04,2 = Q 4 (mod p 2 ) = 01 1A3BB9B6O7F0BD71BBE25F52B305C224899E5 
F 1 F8CDC2FE0D8F9FF62B3C9860F 

Polymorphisme de la cle privee GQ2 — Les diverses representations 
possibles de la cle privee GQ2 s'averent equivalentes : elles se ramenent 
toutes a la connaissance de la factorisation du module n qui est la veritable 
cle privee GQ2. La representation de la cle privee G02 a un effet sur le 
deroulement des calculs au sein de P entite qui prouve. pas au sein de 
l'entite qui controle . Voici les trois principales representations possibles de 
la cle privee GQ2. 1) La representation classique des cles privees GO 
consiste a stocker m nombres prives Q t et la cle publique de verification 
(v, n) ; pour les schemas GQ2, cette representation est concurrence par les 
deux suivantes. 2) La representation optimale en termes de charges de 
travail consiste a stocker le parametre A, les / facteurs premiers p j9 mxf 
composantes privees O tJ et f—\ parametres des restes chinois. 3) La 
representation optimale en termes de taille de cle privee consiste a stocker 
le parametre k, les m nombres de base g i et les / facteurs premiers p p puis, a 
commencer chaque utilisation en etablissant ou bien m nombres prives Q. et 
le module n pour se ramener a la premiere representation, ou bien mxf 
composantes privees 0 Lj et f-\ parametres des restes chinois pour se 
ramener a la seconde. 

Parce que la securite du mecanisme d'authentification dynamique ou de 
signature numerique equivaut a la connaissance d'une decomposition du 
module, les schemas GQ2 ne permettent pas de distinguer simplement deux 
entites utilisant le meme module. Generalement, chaque entite qui prouve 
dispose de son propre module GQ2. Toutefois, on peut specifier des 
modules GQ2 a quatre facteurs premiers dont deux sont connus d'une entite 
et les deux autres d'une autre. 

Authentification dynamique — Le mecanisme d' authentication dynami- 
que est destine a prouver a une entite appelee controleur l'authenticite 
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d'une autre entite appelee demonstrateur ainsi que F authenticity d'un 
eventuel message associe M, de sorte que le controleur s'assure qu'il s'agit 
bien du demonstrateur et eventuellement que lui et le demonstrateur parlent 
bien du meme message M. Le message associe M est optionnel, ce qui 
signifie qu'il peut etre vide. 

Le mecanisme d'authentification dynamique est une sequence de quatre 
actes : un acte d' engagement, un acte de defi, un acte de reponse et un acte 
de controle. Le demonstrateur joue les actes d'engagement et de reponse. 
Le controleur joue les actes de defi et de controle. 

Au sein du demonstrateur, on peut isoler un temoin, de maniere a isoler 
les parametres et les fonctions les plus sensibles du demonstrateur, c'est-a- 
dire, la production des engagements et des reponses. Le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus : • les / 
facteurs premiers et les m nombres de base, • les mxf composantes privees, 
les /facteurs premiers et f-\ parametres des restes chinois, • les m nombres 
prives et le module n. 

Le temoin peut correspondre a une realisation particuliere, par exemple, 
• une carte a puce reliee a un PC formant ensemble le demonstrateur, ou 
encore, • des programmes particulierement proteges au sein d'un PC, ou 
encore, • des programmes particulierement proteges au sein d'une carte a 
puce. Le temoin ainsi isole est semblable au temoin defini ci-apres au sein 
du signataire. A chaque execution du mecanisme, le temoin produit un ou 
plusieurs engagements R, puis, autant de reponses D a autant de defis d. 
Chaque ensemble d, D) constitue un triplet GQ2. 

Outre qu'il comprend le temoin, le demonstrateur dispose egalement, le cas 
echeant, d'une fonction de hachage et d'un message M. 
Le controleur dispose du module «, par exemple, a partir d ! un annuaire de 
cles publiques ou encore a partir d ? un certificat de cles publique ; le cas 
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echeant, il dispose egalement de la meme fonction de hachage et d'un 
message M \ Les parametres publics GQ2, a savoir les nombres k, m et g { a 
g m peuvent etre donnes au controleur par le demonstrateur. Le controleur est 
apte a reconstituer un engagement R ' a partir de n'importe quel defi d et de 

5 n'importe quelle reponse D. Les parametres k et m renseignent le 

controleur. Faute d'indication contraire, les m nombres de base de g { a g m 
sont les m premiers nombres premiers. Chaque defi d doit comporter m 
defis elementaires notes de d l a d m : un par nombre de base. Chaque defi 
elementaire de J, a d m est un nombre de 0 a 2 A " ! -1 (les nombres de v/2 a v-1 

10 ne sont pas utilises). Typiquement, chaque defi est code par m fois k-l bits 

(et non pas m fois k bits). Par exemple, avec k = 5 et m — 4 nombres de base 
5, 11, 21 et 26, chaque defi comporte 16 bits transmis sur quatre quartets. 
Lorsque les (k-l)xm defis possibles sont egalement probables, le nombre 
(£_l) X /w determine la securite apportee par chaque triplet GQ2 : un 

15 imposteur qui, par definition, ne connait pas la factorisation du module n a 

exactement une chance de succes sur 2 ( *" l)Xm . Lorsque (k-l)xm vaut de 15 a 
20, un triplet suffit a assurer raisonnablement Tauthentification dynamique. 
Pour atteindre n'importe quel niveau de securite, on peut produire des 
triplets en parallele ; on peut egalement en produire en sequence, c'est-a- 

20 dire, repeter 1' execution du mecanisme. 

1) L'acte d'engagement comprend les operations suivantes. 
Lorsque le temoin n'utilise pas les restes chinois, il dispose du parametre k, 
des m nombres prives de Q x a Q m et du module n ; il tire au hasard et en 
prive un ou plusieurs aleas r (0 < r < n) ; puis, par k elevations successives 

25 au carre (mod n), il transforme chaque alea r en un engagement R. 

R = r v (modn) 

Voici un exemple avec le jeu de cles precedent sans les restes chinois. 

r = 5E94B894AC24AF843131F437C1B1797EF562CFA53AB8AD426C1 

ACQ 1 6F 1 C89CFDA 1312071 9477C3 E2FB4B4566088E 1 0EF9C0 1 0E8F09 
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C60D981512198126091996 

R = 6BBF9FFA5D509778D0F93AE074D36A07D95FFC38F70C8D7E330 
0EBF234FA0BC20A95 1 52A8FB73DE8 1FAEE5BF4FD3EB7F5EE3E36D 
7068D083EF7C93F6FDDF673A 

Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des/ 
facteurs premiers de p l a p p de/-l parametres des restes chinois et des mx/ 
composantes privees Q Q ; il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r. par facteur 
premier p. (0 < r. < p) ; puis, par k elevations successives au carre (mod p), 
il transforme chaque alea r. en une composante d' engagement R r 

Ri = n (mod^ f ) 

Pour chaque collection de / composantes d' engagement, le temoin etabiit un 
engagement selon la technique des restes chinois. II y a autant d'engage- 
ments que de collections d'aleas. 

R = Restes Chinois^,, i^, . . . R) 
Voici un exemple avec le jeu de cles precedent et avec les restes chinois. 
r, = 5C6D37FOE97083C8D120719475E080BBBF9F7392F11F3E244FDFO 
204E84D8CAE 

R } = 3DDF516EE3945CB86D20D9C49E0DA4D42281D07A76074DD4FE 
C5C7C5E205DF66 

r 2 = AC8F85034AC781 12071947C457225E908E83A2621B0154ED15DB 
FCB9A4915AC3 

R 2 = 01 168CEC0F661EAA15157C2C287C6A5B34EE28F8EB4D8D34085 
8079BCAE4ECB016 

R = Restes ChinoisC^,, R 2 ) = 0AE51D90CB4FDC3DC757C56E063C9ED8 

6BE153B71FC65F47C123C27F082BC3DD15273D4A923804718573F2F0 

5E99 1 487D 1 7DAE0AAB7DF0D0FFA23E0FE59F95F0 

Dans les deux cas, le demonstrateur transmet au controleur tout ou partie de 

chaque engagement R, ou bien, un code de hachage H obtenu en hachant 
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chaque engagement R et un message M. 

2) L'acte de defi consiste a tirer au hasard un ou plusieurs defis d 
composes chacun de m defis elementaires d x d 2 ... d m \ chaque defi 
elementaire d l est Tun des nombres de 0 a v/2-1 . 

d = d { d 2 ... d m 

Voici un defi pour les deux exemples, c'est-a-dire avec k = 5 et m = 4. 
<*, = 1011 = 11 = 'B' ;rf 2 = 0011 = 3 ;rf 3 = 0110 = 6;</ 4 = 1001 =9, 
d = d x | I d 2 I \d 3 | I ^= 10110011 01101001 =B3 69 
Le controleur transmet au demonstrateur chaque defi d. 

3) L'acte de reponse comporte les operations suivantes. 

Lorsque le temoin n'utihse pas les restes chinois, il dispose du parametre k, 
des m nombres prives de Q l a Q m et du module n ; il calcule une ou 
plusieurs reponses D en utilisant chaque alea r de l'acte d'engagement et les 
nombres prives selon les defis elementaires. 

D = rxQ?*xQl>x...Q2r (modn) 
Voici la suite de l'exemple sans les restes chinois. 

D = 027E6E8O8425BF2B401FD00B15B642B1A8453BE8O70D86COA787 
0E6C1940F7A6996C2D871EBE61 1812532AC5875E0E1 16CC8BA648FD 
8E86BE0B2 ABCC3 CCBBBE4 

Lorsque le temoin utilise les restes chinois, il dispose du parametre k, des/ 
facteurs premiers de p i hp p dcf-\ parametres des restes chinois et des mx/ 
composantes privees Q Q ; il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de l'acte 
d'engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

D l ~r i xQf)xQfox..jQ!h (mod Pi ) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 
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D = Restes Chinois(D,, D 2 , ... D) 
Voici la suite de l'exemple avec les restes chinois. 

C71F86F6FD8F955E2EE434BFA7706E38E5E715375BC2CD2029A4BD 
572A9EDEE6 

0BE022F4A20523F98E9F5DBEC0E10887902F3AA48C864A6C354693A 
D0B59D85E 

D = 90CE7EA43CB8EA89ABDD0C814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE 1 BCC3 568 1 1BF 12DD667E2270 134C907 
3 B94 1 8CA5EBF5 19121 8D3FDB3 

Dans les deux cas, le demonstrateur transmet chaque reponse 2> au 
controleur. 

4) L'acte de controle consiste a controler que chaque triplet {R, d, D) 
verifie une equation du type suivant pour une valeur non nulle . 

ffl . >w 

R *Y\ G ? ^D 2 * (mod n) oubien R = D 2 xJ^Gf (mod n) 
ou bien, a retablir chaque engagement : aucun ne doit etre nul . 

, m k rn 

R'=D 2 /Yl 0 ?' ( mod *) oubien R'=D 2 x||Gf' (mod ^ 
i=i *'=i 
Eventuellement, le controleur calcule ensuite un code de hachage H' en 
hachant chaque engagement retabli R ' et un message M\ L'authentification 
dynamique est reussie lorsque le controleur retrouve ainsi ce qu'il a re?u a 
Tissue de Tacte d'engagement, c'est-a-dire, tout ou partie de chaque 
engagement R, ou bien, le code de hachage H. 

Par exemple, une sequence d'operations elementaires transforme la reponse 
D en un engagement R \ La sequence comprend k carres (mod n) separes 
par k-\ divisions ou multiplications (mod n) par des nombres de base. Pour 
la i ierne division ou multiplication, qui s'effectue entre le i ieme carre et le 
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/+1 ieme carre, le i ieme bit du defi elementaire d K indique s'il faut utiliser 
g x , le i ieme bit du defi elementaire d 2 indique s'il faut utiliser g 2 , ... 
jusqu'au i ieme bit du defi elementaire d m qui indique s'il faut utiliser g m . 
Voici la fin de l'exemple sans les restes chinois. 

D = 027E6E808425BF2B401FDOOB15B642B1A8453BE8070D86COA787 
0E6C1940F7A6996C2D871EBE61 1812532AC5875E0E1 16CC8BA648FD 
8E86BE0B2ABCC3CCBBBE4 
Elever au carre modulo n : 

88B A68 1 DD64 1 D37D7 A7D98 1 8D0DBEA82 1 74073997C6C32F7FCAB3 
03 80C4C 6229B0706D 1 AF6EBD 846 1 777 1 C3 1 B4243C2F03 76C AF5DCE 
B644F098FAF3B 1 EB49B39 
Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6ECABA65A91C22431C413E4EC7C7B39FDE14C9782C94FD6FA3CA 
AD7AFE192B9440C1 1 13CB8DBC45619595D263C1067D3D0A840FDE0 
08B41 5028AB3520A6AD49D 
Elever au carre modulo n : 

0236D25049A52 1 7B 1 3 8 1 8B39AFB009E4D7D52B 1 7486EBF844D64CF7 

5C4F65203 1 04 1 328B29EBF0829D54E3BD 1 7DAD2 1 8 1 74 AO 1 E6E3 AA65 

0C6FD62CC274426607 

Multiplier par 21, soit '15' modulo n : 

2E7F40960A8BBF1 899A06BBB6970CFC5B47C88E8F 1 1 5B5DA594504 
A92834BA405559256A705ABAB6E7F6AE82F4F33BF9E91227F0ACFA 
4A052C9 1 ABF3 89725E93 
Elever au carre modulo n : 

B802 1 7 1 1 79648 AD687E672D3 A32640E2493B A2E82D5DC87DB A2B2C 

CO325E7A71C50E8AE02E299EF868DD3FB916EBCBC0C5569B53D42 

DAD49C956D8572E1285B0 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 
3305560276310DEFEC1337EB5BB5810336FDB28E91B350D485B09188 
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E0C4F 1 D67E68E9590DB7F9F39C22BDB45330 1 36250 1 1 248A8DC4 1 7C 

667B419D27CB11F72 

Elever au carre modulo n : 

8871 C49408 1 ABD 1 AEB 8656C3 8B9BAAB 5 7DB A72 A4BD4EF9029ECB 
FFF540E55138C9F22923963151FD0753145DF70CE22E9D019990E41D 
B61 04005EEB7B 1 1 70559 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit '596' modulo n : 
2CF5F76EEBF 1 28A070 1 B56F837FF68F8 1 A6A5D 1 75D0AD67 A 1 4DAE 
C6FB68C362B1DC0ADD6CFC004FF5EEACDF794563BBO9A17045EC 
FFF88F5 1 36C7FBC825BC50C 
Elever au carre modulo n : 

6BBF9FFA5D509778DOF93AE074D36A07D95FFC38F70C8D7E3300EB 

F234FA0BC20A95152A8FB73DE81FAEE5BF4FD3EB7F5EE3E36D706 

8D083EF7C93F6FDDF673A 

On retrouve bien l'engagement R. L'authentification est reussie. 
Voici la fin de l'exemple avec les restes chinois. 

D = 90CE7EA43CB8EA89ABDDOC814FB72ADE74F02FE6F098ABB98 
C8577A660B9CFCEAECB93BE1BCC356811BF12DD667E2270134C907 
3B94 1 8CA5EBF5 19121 8D3FDB3 
Elever au carre modulo n : 

770192532E9CED554A8690B88F16D013010C903172B266C1133B136E 
BE3EB5F 1 3B1 70DD41 F4ABE1 473 6ADD3 A70DFA43 12 1 B6FC5560CD 
D4B4845395763C792A68 

Multiplier par 5 fois 26 = 130, soit '82' modulo n : 

6EE9BEF9E52713004971ABB9FBC31145318E2A703C8A2FB3E144E77 
86397CD8D1910E70FA86262DB771AD1 565303 AD6E4CC6E90AE3646 
B46 1 D352 1 420E240FD4 
Elever au carre modulo n : 

D9840D9A8E80002C4D0329FF97D7AD1 63D8FA98F6AF8FE2B2 160B2 
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126CBBDFC734E39F2C9A39983A426486BC477F20ED2CA59E664C23 

CAOE04E84F2FOAD65340 

Multiplier par 2 1 , soit '1 5' modulo n : 

D7DD75 1 63 83F78944F2C90 1 1 6E 1 BEE0CCDC8D7CEC5D7D 1 795ED33 
BFE8623DB3D2E5B6C5F62A56A2DF4845A94F32BF3CAC360C7782B 
594 1 924BB4BE9 1 F86BD85F 
Elever au carre modulo n : 

DD34020DD0804C0757F29 A0CBBD7B46A 1 BAF9492 1 4F74FDFE02 1 B 
626ADAFBAB5C3F1602095DA39D7027093 8 AE362F2DAE0B9 1485531 
0C7BCA328A4B2643DCCDF 

Multiplier par 5 fois 1 1 fois 21 = 1 155, soit '483' modulo n : 

038EF55B4C826D189C6A48EFDD9DADBD2B63A7D675A0587C85596 

18EA2D83DF552D24EAF6BE983FB4AFB3DE7D4D2545190F1B1F946 

D327A4E9CA258C73A98F57 

Elever au carre modulo n : 

D1232F50E30BC6B7365CC2712E5CAE079E47B971DA03185B33E918E 
E6E99252DB3573CC87C604B327E5B20C7AB920FDF142A8909DBBA1 
C04A6227FF 1 824 1 C9FE 

Multiplier par 5 fois 1 1 fois 26 = 1430, soit *596' modulo n : 

3CC768F 12 AEDFCD4662892B9 1 74A2 1 D1F0DD9 1 27 A54AB63C9840 1 9 

BED9BF88247EF4CCB56D71E0FA30CFBOFF28B7CE45556F744C1FD7 

51BFBCA040DC9CBAB744 

Elever au carre modulo n : 

0AE51D90CB4FDC3DC757C56E063C9ED86BE153B71FC65F47C123C 
27F082BC3DD 1 5273D4A923 8047 1 8573F2F05E99 1 487D 1 7DAE0AAB7 
DF0D0FFA23E0FE59F95F0 

On retrouve bien 1' engagement R. L'authentification est reussie. 
Signature numerique 

Le mecanisme de signature numerique permet a une entite appelee 
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signataire de produire des messages signes et a une entite appelee 
controleur de verifier des messages signes. Le message M est une sequence 
binaire quelconque : il peut etre vide. Le message M est signe en lui 
adjoignant un appendice de signature qui comprend un ou plusieurs 
engagements et / ou defis, ainsi que les reponses correspondantes. 
Le controleur dispose du module n, par exemple, a partir d'un annuaire de 
cles publiques ou encore a partir d'un certificat de cles publique ; il dispose 
egalement de la meme fonction de hachage. Les parametres publics GQ2, a 
savoir les nombres k, m et g, a g m peuvent etre donnes au controleur par le 
demonstrates, par exemple, en les mettant dans Tappendice de signature. 
Les nombres k et m renseignent le controleur. D'une part, chaque defi 
elementaire, de d x a d m , est un nombre de 0 a 2*" l -l (les nombres v/2 a v-l 
ne sont pas utilises). D'autre part, chaque defi d doit comporter m defis 
61ementaires notes de d x a d m , autant que de nombres de base. En outre, 
faute d' indication contraire, les m nombres de base, de g x a g m , sont les m 
premiers nombres premiers. Avec (£-l)xm valant de 15 a 20, on peut signer 
avec quatre triplets GQ2 produits en parallele ; avec (fc-l)xm valant 60 ou 
plus, on peut signer avec un seul triplet GQ2. Par exemple, avec k= 9 et 
m = 8, un seul triplet GQ2 suffit ; chaque defi comporte huit octets et les 
nombres de base sont 2, 3, 5, 7, 1 1, 13, 17 et 19. 

L'operation de signature est une sequence de trois actes : un acte 
d* engagement, un acte de defi et un acte de reponse. Chaque acte produit un 
ou plusieurs triplets GQ2 comprenant chacun : un engagement R 0), un 
defi d compose de m defis elementaires notes par d i9 d 2 , ... d m et une 
reponse D 0). 

Le signataire dispose d'une fonction de hachage, du parametre k et de la cle 
privee GQ2, c'est-a-dire, de la factorisation du module n selon Tune des 
trois representations evoquees ci-dessus. Au sein du signataire, on peut 
isoler un temoin qui execute les actes d'engagement et de reponse, de 
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maniere a isoler les fonctions et les parametres les plus sensibles du 
demonstrateur. Pour calculer engagements et reponses, le temoin dispose du 
parametre k et de la cle privee GQ2, c'est-a-dire, de la factorisation du 
module n selon Tune des trois representations evoquees ci-dessus. Le 
temoin ainsi isole est semblable au temoin defini au sein du demonstrateur. 
II peut correspondre a une realisation particuliere, par exemple, • une carte 
a puce reliee aun PC formant ensemble le signataire, ou encore, • des 
programmes particulierement proteges au sein d'un PC, ou encore, • des 
programmes particulierement proteges au sein d'une carte a puce. 

1) L'acte d'engagement comprend les operations suivantes. 

Lorsque le temoin dispose des m nombres prives Q } a Q m et du module n, il 
tire au hasard et en prive un ou plusieurs aleas r (0 < r < n) ; puis, par k 
elevations successives au carre (mod «), il transforme chaque alea renun 
engagement R. 

R = r v (mod n) 

Lorsque le temoin dispose des / facteurs premiers de p x a p f et des mxf 
composantes privees Q iJ9 il tire au hasard et en prive une ou plusieurs 
collections de / aleas : chaque collection comporte un alea r. par facteur 
premier p. (0 < r < p) ; puis, par k elevations successives au carre (mod p), 
il transforme chaque alea r. en une composante d'engagement R r 

R t = r- (mod^) 

Pour chaque collection de / composantes d'engagement, le temoin etablit un 
engagement selon la technique des restes chinois. II y a autant 
d'engagements que de collections d'aleas. 

R = Restes Chinois(J? p i? 2 , ... R} 

2) L'acte de defi consiste a hacher tous les engagements R et le message a 
signer M pour obtenir un code de hachage a partir duquel le signataire 
forme un ou plusieurs defis comprenant chacun m defis elementaires ; 
chaque defi elementaire est un nombre de 0 a v/2-1 ; par exemple, avec 
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k= 9 et m = 8, chaque defi comporte huit octets. II y a autant de defis que 
d'engagements. 

d = d l d 2 ... d m , extraits du resultat Hash(M, R) 
3) L'acte de reponse comporte les operations suivantes. 
Lorsque la temoin dispose des m nombres prives Q x a Q m et du module n, il 
calcule une ou plusieurs reponses D en utilisant chaque alea r de Facte 
d'engagement et les nombres prives selon les defis elementaires. 

JTsfifixfifx..^- (mod /i) 
D = rxX (mod/2) 
Lorsque le temoin dispose des / facteurs premiers de p x a p f et des mxf 
composantes privees Q iJ9 il calcule une ou plusieurs collections de / 
composantes de reponse en utilisant chaque collection d'aleas de Facte 
d 5 engagement : chaque collection de composantes de reponse comporte une 
composante par facteur premier. 

Xt'QQx&x.-'Qh (mod A ) 
D i ^r i yiX i (mod p t ) 
Pour chaque collection de composantes de reponse, le temoin etablit une 
reponse selon la technique des restes chinois. II y a autant de reponses que 
de defis. 

D = Restes Chinois(Z) p D 29 ... D) 
Le signataire signe le message M en lui adjoignant un appendice de 
signature comprenant : 

- ou bien, chaque triplet GQ2, c'est-a-dire ? chaque engagement R 9 chaque 
defi d et chaque reponse £>, 

ou bien, chaque engagement R et chaque reponse D correspondante, 
ou bien, chaque defi d et chaque reponse D correspondante. 

Le deroulement de Foperation de verification depend du contenu de 

F appendice de signature. On distingue les trois cas. 

Au cas ou Fappendice comprend un ou plusieurs triplets, Foperation de 
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controle comporte deux processus independants dont la chronologie est 
indifferente. Le controleur accepte le message signe si et seulement si les 
deux conditions suivantes sont remplies. 

D'une part, chaque triplet doit etre coherent (une relation appropriee du 
type suivant doit etre verifiee) et recevable (la comparaison doit se faire sur 
une valeur non nulle). 

m k k J n m 

Rx Yi °^ - 1)2 ^ m ° d ^ ° u bien r s ° 2 x n °^ ^ m ° d ^ 

;=1 1=1 

Par exemple, on trans forme la reponse D par une sequence d' operations 
elementaires : k carres (mod n) separes par k-1 multiplications ou divisions 
(mod ri) par des nombres de base. Pour la / ieme multiplication ou division, 
qui s'effectue entre le i ieme carre et le z+1 ieme carre, le i ieme bit du defi 
elementaire d x indique s'il faut utiliser g v le / ieme bit du defi elementaire d 2 
indique s'il faut utiliser g 2 , ... jusqu'au i ieme bit du defi elementaire d m qui 
indique s'il faut utiliser g m . On doit ainsi retrouver chaque engagement R 
present dans Fappendice de signature. 

D' autre part, le ou les triplets doivent etre lies au message M. En hachant 
tous les engagements R et le message M 9 on obtient un code de hachage a 
partir duquel on doit retrouver chaque defi d. 

d= d x d 2 ... d m , identiques a ceux extraits du resultat Hash(A/, R) 
Au cas ou Fappendice ne comprend pas de defi, Toperation de controle 
commence par la reconstitution de un ou plusieurs defis d 9 en hachant tous 
les engagements R et le message M. 

d' = d\ d \ . . . d' m9 extraits du resultat Hash(Af, R) 
Ensuite, le controleur accepte le message signe si et seulement si chaque 
triplet est coherent (une relation appropriee du type suivant est verifiee) et 
recevable (la comparaison se fait sur une valeur non nulle). 

m k k m 

Rx Yi = d2 ( m ° d w) ° u bien r s d2 x n °i ,f ^ m ° d w) 
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Au cas ou I'appendice ne comprend pas d 5 engagement, l'operation de 
controle commence par la reconstitution de un ou plusieurs engagements R ' 
selon une des deux formules suivantes, celle qui est appropriee. Aucun 
engagement retabli ne doit etre nul. 



Ensuite, le controleur doit hacher tous les engagements R 9 et le message M 
de fa<?on a reconstituer chaque defis d. 

d=d } d 2 . . . d m , identiques a ceux extraits du resultat Hash(M, R 0 
Le controleur accepte le message signe si et seulement si chaque defi 
reconstitue est identique au defi correspondant figurant en appendice. 
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Revendications 

1. Dans un procede destine a prouver a une entite controleur, 

- F authenticity d'une entite et/ou 

- Fintegrite d'un message M associe a cette entite ; 
ledit procede mettant en oeuvre : 

- un module public n constitue par le produit de f facteurs premiers p v 
p 2 , ... p f (f etant superieur ou egal a 2) ou mettant en oeuvre les f facteurs 
premiers ; 

* m nombres de base entiers g x , g v ... g m distincts (m etant superieur 
ou egal a 1), gj etant inferieur aux f facteurs premiers p v p 2 , ... p f ; 

-m couples de valeurs privees Q v Q 2 , ... Q m et publiques G 2 , ... 
G m (m etant superieur ou egal a 1) ou des parametres derives de ceux-ci ; 
ledit module et lesdites valeurs privees et publiques etant lies par des 
relations du type : 

G| . Qi V s 1 mod n ou Gj = mod n 
ladite valeur publique G i etant le carre g s 2 du nombre de base, 
v designant un exposant public de la forme : 

v = 2 k 

ou k est un parametre de securite plus grand que 1 ; 

le procede selon Finvention comprenant Fetape de produire les f facteurs 
premiers p v p 2 , . . . p f et/ou les m nombres de base g v g v . . . g m de telle sorte 
que les conditions suivantes soient satisfaites : 
Premiere condition : 
chacune des equations : 

x v = gf mod n (1) 
a des solutions en x dans Fanneau des entiers modulo n ; 
Deuxieme condition : 

dans le cas ou Gj s Q. v mod n, parmi les m nombres q 4 obtenus en elevant Qj 
au carre modulo n, k-1 fois de rang. Fun d'entre eux est different de ± g s 
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(c'est-a-dire est non trivial), 

dans le cas ou G r Qj V s 1 mod n, parmi les m nombres q f obtenus en elevant 
T inverse de Q { modulo n au carre modulo n, k-1 fois de rang. Tun d'entre 
eux est different de ± g i (c'est-a-dire est non trivial) ; 
Troisieme condition : 
parmi les 2m equations : 

x 2 = gi mod n (2) 

x 2 s - gj mod n (3) 
au moins Tune d'entre elles a des solutions en x dans Fanneau des entiers 
modulo n ; 

le procede selon Finvention pour produire les f facteurs premiers p v p v ... 
p f , et/ou les m nombres de base g A , g 2 , ... g m comprenant Fetape de choisir 
en premier : 

• le parametre de securite k, 

• les m nombres de base g v g,, ... g m , et/ou les f facteurs 
premiers p lf , p 2j , . . - p f 

2. Procede selon la revendication 1 tel que les m nombres de base g v 
g 2 , ... g m , sont choisis au moins en partie parmi les premiers nombres entiers. 

3. Procede selon Fune des revendications 1 ou 2, tel que le parametre 
de securite k est un petit nombre entier, notamment inferieur a 100. 

4. Procede selon Fune quelconque des revendications 1 a 3, tel que la 
taille du module n est superieure a plusieurs centaines de bits. 

5. Procede selon Fune quelconque des revendications 1 a 4, tel que 
les f facteurs premiers p v p^, ... p f ont une taille voisine de la taille du 
module n divise par le nombre f de facteurs. 

6. Procede selon Fune quelconques des revendications 1 a 5 tel que 
pour tester la premiere condition, on verifie la compatibility des nombres k, 
p, g en mettant en oeuvre Falgorithme ci-apres : 

- on designe par h un nombre tel que 2 h divise le rang de g par rapport 
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apet tel que 2^ 1 ne le divise pas, 

- on calcule h a partir du symbole de Legendre (g | p) et d ? un nombre 
b egal a une racine 2'- ieme primitive de 1' unite dans CG(p), 

•si (g|p) = -l alorsh= t, 

• si (g | p) = +1 avec t = 1 , alors h= 0, 

• si (g I P) = +1 avec 1 > 1» aIors on applique la cle ((p-1+2 1 )/ 2 t+1 , 
p) a G, on obtient ainsi un resultat w : 

• • si w = +g, alors h = 0, 

• • si w = p-g, alors h - +1, 

• • sinon, on met en oeuvre le sous-module de calcul ci- 
apres, en initialisant la variable c en lui attribuant la valeur b, puis en iterant 
les etapes suivantes pour des valeurs de i allant de M a 2 : 

etape 1 : on applique la cle (2\ p) a w/g(modp), 

* si le resultat obtenu est egal a +1, on passe a r etape 2, 

* si le resultat obtenu est egal a -1, on attribue a h la valeur i et on remplace 
w par w.c(modp), 

etape 2 : on remplace c par c 2 (modp), 
la valeur de h recherchee est celle obtenue la derniere fois ou Tapplication 
de la cle (2\ p>, conformement a V etape 1 , a produit un resultat egal a -1 9 
(on rappelle que 

- k> g> P sont incornpatibles lorsque h>l et lorsque k+h >/+7, 

- k, g, p sont compatibles lorsque h = 0 ou 1, quelle que soit la 
valeur de K ou lorsque h>l et lorsque k+h <r t+1). 

(dans ledit algorithme, le symbole de Legendre et t ont le sens defini dans la 
description). 

7. Procede selon la revendication 6 tel que pour tester la deuxieme 
condition, on verifie qu'au moins un jeu {6 U ... 5 if } est variable ou nul, 

{6 ale sens defini dans la description). 

8. Procede selon la revendication 7 tel que pour tester la troisieme 
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condition, on verifie qu'il existe un nombre de base g x de g x a g m tel que les 
f symboles de Legendre (g { j p,) a (g. | p f ) soient tous egaux a+1 ou bien les 
f symboles de Legendre | a (-g- | p f ) soient tous egaux a+1. 

9. Procede selon Tune quelconques des rev end i cations 1 a 8 tel que 
pour calculer les f.m composantes privees } des valeurs privees Q 19 Q 2 , 
••• Q m (Qi,j = Qj mod pp, dans le cas ou Gj = Q. v mod n : 

- si t = 1 (c'est-a-dire si pjs= 3 (mod4)) : 

• on calcule un nombre Sj tel que Sj = ((pj + l)/4) k (mod(pj -l)/2), 

• on en deduit la cle ( Sj, pj) ? 

• on applique la cle < s } , pj) a G i? 

• on obtient ainsi : w = G? j (mod pp, 

• les deux valeurs possibles de . sont w ? Dj -w, 

- si t = 2 (c'est-a-dire si pj= 5 (mod8)) : 

• on calcule un nombre Sj tel que Sj = ((pj + 3)/8) k (mod(pj -l)/4), 

• on en deduit la cle ( s j9 pj), 

• on applique la cle ( s- 9 p-) a G| , 

• on obtient ainsi : w = Gj sj (mod pj) et w'== w.z(mod pj), 

• les quatre valeurs possibles de . sont w, pj -w, w\ pj — w\ 
(dans ledit algorithme z a le sens defini dans la description). 

- si t >2 (c'est-a-dire si pj= 2 l + l (mod2 t+1 )) et si h=0 ou si h = 1, 

• on calcule s, tel que Sj - ((^ -1 + 2 1 )/ 2 t+1 ) k (mod(pj -1)/ 2% 

• on en deduit la cle ( s j? p^, 

• on applique la cle { s j9 pj) a G; ? 

• on obtient ainsi : w = Gj Sj (mod pp, 

• les 2 nun(k,t) valeurs possibles de Q i?j sont egales au produit de w 
par l'une quelconque des racines 2 min(k *°-iemes de P unite dans CG(pj), 

- si t >2 (c'est-a-dire si p jS 2 l + l (mod2 t+1 )) et si h>l et si h+k <> t+1, 

• on calcule Sj tel que Sj ■ ((^ -1 + 2 1 )/ 2 t+1 ) k+hl (mod(Pj -1)/ 2% 

• on en deduit la cle ( s j5 p^, 
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• on applique la cle ( Sj, pj) a la puissance 2 h l -ieme de G k 9 

• on obtient ainsi w, 

• les 2 k valeurs possibles de Qj j appartiennent a F ensemble des 
produits de w par les racines 2 k+h_1 -iemes primitives de V unite dans CG(pj). 

10. Procede selon la revendication 9 tel que pour calculer les 
composantes privees Q u dans le cas ou Gj. Qj v b 1 . mod n, on substitue Sj 
par ((pj -l)/2 l ) - Sj dans la cle ( s j9 pj). 

11. Procede faisant application du procede, selon Tune quelconque 
des revendications 1 a 8, permettant de produire les f facteurs premiers p 1? 
p 2 ? ... p f ou les m nombres de base g x , g 2 , . . . g m ; 

ledit procede etant destine a prouver a une entite controleur 

- Tauthenticite d'une entite et/ou 

- Tintegrite d ? un message M associe a cette entite, 

au moyen de m couples de valeurs privees Q v Q 2 , ... Q m et publiques G v 
G 2 , ... G m (m etant superieur ou egal a 1) ou des parametres derives de 
ceux-ci, notamment au moyen des composantes privees j ; 
ledit procede mettant en oeuvre selon les etapes ci-apres une entite appelee 
temoin ; 

ladite entite temoin disposant des f facteurs premiers pj et/ou des parametres 
des restes chinois des facteurs premiers ; et/ou du module public n et/ou des 
m valeurs privees Q; et/ou des f.m composantes privees j des valeurs 
privees Q f et de Fexposant public v ; 

- le temoin calcule des engagements R dans Tanneau des entiers 
modulo n ; chaque engagement etant calcule : 

• soit en effectuant des operations du type 

R = r v mod n 
ou rest un alea tel que 0 < r< n, 

• soit 

•• en effectuant des operations du type 
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Ri = rj v mod Pi 

ou i^est un alea associe au nombre premier Pi tel que 0 < r, < p i , chaque r f 
appartenant a une collection d'aleas {r x , r 2 , ... r f } , 

puis en appliquant la methode des restes chinois ; 
- le temoin re9oit un ou plusieurs defis d ; chaque defi d comportant m 
entiers dj ci-apres appeles defis elementaires ; le temoin calcule a partir de 
chaque defi d une reponse D, 

• soit en effectuant des operations du type : 

D m r . Q, dl . Q 2 * ... Q ra mod n 

• soit 

•• en effectuant des operations du type : 

D £ s r, . Q u dl . Q h7 d2 . ... Qi m dm mod Pl 
puis en appliquant la methode des restes chinois ; 
ledit procede etant tel qu'il y a autant de reponses D que de defis d et 
d' engagements R, chaque groupe de nombres R, d, D constituant un 
triplet note {R, d, D}. 
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